サイバーセキュリティの基礎：知っておくべきこと

今から30年以上前にインターネットが発明された当初、そもそも個人ユーザーのセキュリティにはほとんど目が向けられていませんでした。オンライン犯罪などというものが現れるとは、誰も想定していなかったのです。しかし、その後事情は変わり、「サイバーセキュリティ」や「サイバー犯罪」といった用語が生まれました。

サイバーセキュリティとは、情報 通信技術におけるセキュリティのあらゆる側面を扱う分野で、広範囲にわたる対策、概念、ガイドラインが含まれます。その目的は、インターネットに接続されたコンピュータ、サーバー、モバイルデバイス、ネットワークをサイバー空間全体からの不正アクセス、データ盗難、攻撃、不正操作から保護することです。

サイバー攻撃とは、他者のコンピュータネットワークやシステムに対する敵対的な攻撃で、ネットワークやシステム上で情報を盗み見したり、損害を与えたり、自らの利益になるように操作したりする行為を指します。サイバー犯罪のターゲットになるのは、個人、企業、政治機関、公的機関のほか、一国のインフラ全体が標的になることもあります。

現実を見ると、サイバーセキュリティの重要性はますます高まっています。ドイツ連邦情報セキュリティ庁（BSI）によれば、世界最大の自動車メーカー、フォルクスワーゲンのITネットワークは一日に6,000回も攻撃を受けています。インフィニオンのようなハイテク企業も、多くのサイバー攻撃の標的となっています。インフィニオンでは事業継続性（BC）部門がこうした攻撃に対する防御を担当しています。

BSIによれば、ドイツ政府のネットワーク自体にも、特殊性の高い深刻な攻撃が毎日20件ほどあるといいます。サイバーセキュリティ会社カスペルスキー ラボのエキスパートたちは、世界中で一日に約36万個の新しい悪意のあるファイルを見つけています。オンラインショップや電子メールプロバイダなど、多数の顧客データを持つ企業は特に被害を受けます。そうした攻撃の目的は、アカウント情報やパスワードなどの個人情報データを盗むことです。

家電製品がインターネットに接続されれば、とても便利になります。例えば、外出先からスマートフォンで暖房のスイッチを入れておけば、帰宅したときにはリビングが暖まっているというわけです。しかし、こうした製品は攻撃が可能な領域、つまりサイバー攻撃の「入口」になるおそれもあります。ドイツの統計情報サイトのスタティスタによれば、世界のコネクテッドデバイスの数は2025年までに約750憶になると予想されています。

サイバー犯罪には様々な側面があります。

·       内部攻撃者と外部攻撃者

·       「一匹狼」タイプと組織犯罪

·       金銭目的の犯罪

·       政府に支援された攻撃者

·       密かに攻撃するタイプと、世間の注目を集める目的で攻撃するタイプ

インターネット経由で接続されたデバイスには、遠く離れた人と連絡し合えるなど、便利な機能があります。しかし、そうした機能のせいで、デバイスが攻撃者のターゲットになる可能性もあります。

• サイバー犯罪者は、個人ユーザーのプライバシーを侵害したり、パスワードを盗んだり、銀行口座からお金を引き出したり、被害者のお金で買い物をしたりします。

• ルーター、タブレット、カメラ、パソコンなどの個人が使用する接続デバイスの多くは、適切なセキュリティ対策が施されていないと、攻撃者に乗っ取られ、ボットネット（攻撃者に遠隔操作されるデバイス群）に組み込まれる可能性があります。こうしたボットネットでサービス妨害（DoS）攻撃が実行され、通信サービスの停止などが起こります。

• 攻撃者はスパイ行為によって企業秘密を盗もうとしたり、企業のシステムを妨害したりします。ドイツ連邦憲法擁護庁によれば、同国ではこの種の犯罪による損害額が年間約500億ユーロに及びます。

• 国家のインフラが攻撃された場合、国内の送電網（2015年のウクライナのケース）やインターネット網全体（2007年のエストニアのケース）が機能停止に陥ります。

サイバー脅威の世界は急速に変わりつつあります。頭脳的な攻撃者は、新しい攻撃手法を絶えず考案しています。例えば、データを暗号化してコンピュータをロックし、暗号の解除と引き換えに身代金を要求するランサムウェアなどがそうです。攻撃が続いている間にも、マルウェア（悪意のあるプログラム）はさらに特殊化が進んでひとり歩きを始め、「賢く」なっていきます。

攻撃者はランサムウェアを使うことで、被害者のコンピュータを操作し、使用不能にすることができます。そのパソコンやサーバーと保存されたデータを、事実上そのまま乗っ取るわけです。そして、パソコンとデータを元に戻す条件として、被害者（個人または企業）に身代金（ランサム）の支払いを要求するのです。

インフィニオンのサイバーセキュリティ市場の専門家であるデトレフ フードーは次のように述べています。「2年前は、フィッシングによるデータ盗難が最大の問題でした。しかし、現在はランサムウェアが、セキュリティ専門家や法執行当局が特に重点を置く対象の一つになっています」

相互に通信し合うデバイスの数が増えるにつれて、考えられる攻撃シナリオの複雑性も増してきます。フードーはこの点を具体的な例をあげて説明します。「ある病院では、コンピュータ断層撮影（CT）によるX線写真が患者のかかりつけ医に自動的に送られます。その装置は病院のITシステムに接続されていますが、医療機器メーカーから納入されたものです。もし装置自体が保護されていなければ、誰かがその装置に侵入し、ITシステムを操作できてしまいます。つまり、病院のITシステムを保護するだけでは不十分で、接続されている装置もサイバー攻撃から保護しなければならないのです」。

攻撃はさまざまな弱点を利用して仕掛けられます。個人ユーザーの家庭内ネットワークだけでなく、企業や公的機関、あるいは政府のネットワークでも同じです。このことに伴うリスクは幅広く多種多様です。

• ユーザー自身も弱点になりえます。感染したUSBメモリを使ったために自らマルウェアを取り込んでしまう、自分の誕生日など推測しやすいパスワードを使う、機密性の高いデータを暗号化しない（または暗号化のしかたが不適切）といったことが考えられます。

• ブロードバンドルーターなどのネットワーク機器もセキュリティ上の脆弱点になりえます。ドイツでは2016年秋、広く使用されているルーターが攻撃されたため、約100万人がデジタルテレビや電話、インターネットを2日間使えなくなりました。

• 国の重要なインフラへの攻撃はさらに危険です。敵対者が病院や空港、鉄道、パイプライン、銀行、電力設備などにデジタル攻撃を仕掛け、死傷者を出し、経済に深刻な打撃を与えようとすることがあります。防御側には、この種の攻撃がいつ、どこで、どのように行われるかがわからない場合があります。

今や、ファイヤウォールやアンチウイルススキャナなどの従来の手法だけでは、さまざまな異なる方法での攻撃に太刀打ちできません。攻撃があまりにも高度化しているのです。インターネットやコネクテッドビークル（インターネットに接続された乗り物）、スマートホーム、スマートグリッド、産業用インターネットなどを安全に利用するには、新しいセキュリティ概念が必要になっています。このような概念は、「セキュリティ バイ デザイン」と呼ばれる技術的アプローチに基づくもので、開発段階で製品やシステムに組み込まれます。現在、多くのIoT（モノのインターネット）関連業界でセキュリティ規格の策定が進められており、新製品に取り入れられつつあります。

目的は、承認されたユーザー、コンピュータ、マシン、一般的ネットワークノードだけが情報にアクセスできるようにすることによって、情報を保護することです。そのためには、セキュリティで保護されたID情報と、アクセス主体の認証という2つの段階が必要です。それがどのようなものかは、コネクテッドカー（インターネットに接続された自動車）の例を見ればわかります。未来の車には、今よりはるかに多くの電子機器が搭載されます。したがって、脆弱性を持つ可能性のある外部インターフェイスの数も多くなります。

そうしたインターフェイスを保護するため、車に搭載されるソフトウェアは定期的な更新が必要になります。そのためには、更新プログラムを供給するコンピュータと車の制御システムに付いたゲートウェイが、互いを認証することが必要です。つまり、この2つの装置だけが互いにデータをやりとりすることを許可されるわけです。さらに、このインターフェイス間の通信は盗聴防止のため暗号化し、検出されない妨害を防ぐために完全性を保護しなければなりません。更新のために修理工場に行く必要がないように、こうした通信はスマートフォンと同じようにOTA（無線通信）で送信されるケースが増えていくはずです。

そのためには適切なハードウェアが必要になります。インフィニオンが制御ユニットに認証と暗号化を担うチップを搭載しているのは、これが理由です。このようなセキュリティが確保されたID確認プロセスは、機器間の通信において極めて重要なのです。

一例として、市場アナリストの予測によれば、2025年までには約1億台の自動車がインターネットに接続され、いわば「四輪付きコンピュータ」になるだろうといわれています。さらに、路者間（V2I）や車車間（V2V）の通信が発達し、5GやITS-G5などの新しい規格を使用する自動運転車も登場すると予想されています。

生産機械や鉄道信号システム、医療機器、自動車、航空機などの古い製品やシステムは、実際的な難題を突きつけています。メーカーはそうした製品の保守をすでに中止しており、設備を更新するには多大な費用と労力がかかることになります。このような場合によく試される方法は、セキュリティゲートウェイやファイヤウォールを利用して、そうした古い装置を他のシステムから分離することです。しかし、ウクライナで起きた送電網攻撃のように、攻撃者がこうした保護対策を突破する手段を見つけた場合、この方法は効果的ではありませんでした。

インターネットを安全に使いたいなら、ここに挙げるチェックポイントを常に守りましょう。

電力、医療、金融、交通などは、国の重要なインフラを構成する部門です。ヨーロッパの市民には、そうした各部門が提供する基本的サービスを受ける権利があります。もしこれらのインフラが攻撃を受ければ、おそらく大規模なサービス停止と混乱を招き、人的な被害も生じるでしょう。そのため、公的機関はこれらの部門のサイバーセキュリティを強化するための対策をとっています。

• 2015年に発効したドイツのITセキュリティ法は、国内約2,500施設の運営者に、施設内のITシステムを特段に保護するよう義務づけています。例えば、より厳格なセキュリティ要件を充足し、監査においてその証拠を提示しなければなりません。また、データの不正利用が見つかった場合は消費者に警告することも義務づけられています。さらに、各事象を当局に報告しなければなりません。これに相当する欧州連合（EU）の法律は「ネットワークと情報システムのセキュリティに関する指令（NIS指令）」と呼ばれ、すべてのEU加盟国に等しく適用されます。
• 米国では、大統領政策指令第21号により、16の重要インフラ部門と、各部門のセキュリティ監督責任を負う政府機関が指定されています。一部の部門には規制が適用されていますが、ほとんどは自主規制により運営されています。リスク考慮とベストプラクティスの順守を確保するため、米国立標準技術研究所（NIST）のサイバーセキュリティ枠組みが広く利用されています。
• それと同時に、公的機関はサイバー攻撃に対する防御に関する個人ユーザーへの支援も行っており、その一環として、オンラインサービスプロバイダーやハードウェアメーカーの取り組みを活用しています。EUが採択したサイバーセキュリティ法のもとで、消費者向けデバイスの認証に関する一貫性のある規制が策定されることになっています。この施策の目的は、EUのB2C（企業対消費者）市場における消費者向け電子製品（CE）のセキュリティ水準を引き上げることです。さらに、B2B（企業間）市場における製品、ソリューション、サービスについても、認証済みITセキュリティの実装を拡大する予定です。公共部門（B2G＝企業対政府）においては、全EU加盟国におけるITセキュリティの強化と協調を進めることを目指しています。
• 米国では、消費者や非営利団体、小規模企業のサイバーセキュリティを推進するため、全米サイバーセキュリティ啓発月間を設けています。また、年間を通して、連邦取引委員会などの政府諸機関が関連リソースを提供しています。
• 欧州委員会は、2019年末に「EUサイバーセキュリティ コンピテンス センター（ECCC）」という機関の新設を予定しています。今後、新たな脅威とその脅威に対する適切な対抗策に関するノウハウが同センターに蓄積されます。EU全域の600カ所を超える試験検査機関のネットワークが創設されることになっています。

いずれにしても、今後、サイバーセキュリティを強化していくことは、電気 電子業界自体の利益になることでもあります。ドイツ電気電子工業連盟（ZVEI）は、次のように表明しています。「個人情報や技術データが保護されていなければ、デジタル化の利点を活用することはできません。消費者保護、製品品質の確保、顧客忠誠度向上の観点から、サイバーセキュリティの重要性は増大すると確信しています」

まず行動を起こしているのがルーターの製造業者であることは、驚くことではないでしょう。結局のところ、ルーターはあらゆる家庭内ネットワークの中心となる機器です。家庭内ネットワークとインターネットを結ぶインターフェイスであり、したがって格好の攻撃のターゲットなのです。

更新：2019年10月